動的解析

 以前BlogにUPした以下のマルウエアがスキャンを行うportの組み合わせを

https://api.krns.jp/sandbox/scan_daily

clwit様からいただいているDarknetデータに突合し、どの程度のIPが同様のスキャンを行っているかグラフを作ってみた。

https://api.krns.jp/sandbox/darknet_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 IDS(Suricata)で検知したDNS通信の内容

https://api.krns.jp/sandbox/domain_malware

ドメインとは思えない通信をしているマルウエアもいるのですが、これってBUG?

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアが待ち受けするPORT情報

https://api.krns.jp/sandbox/malware_lport

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析(修正)

 マルウエアが行うスキャンポートの組み合わせグラフにBUGがあり、修正しました。

また、単位１のポートは削除し複数のスキャンのみ表示するようにしました。

https://api.krns.jp/sandbox/scan_daily

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 マルウエアダウンロード元IPとMalware HASHの関係

https://api.krns.jp/sandbox/host_malware

https://www.krns.jp/

https://www.rainforest-cs.jp/

動的解析

 動的解析のスキャン以外の通信先が生きてるかチェック結果のグラフを作ってみた。

https://api.krns.jp/sandbox/c2

https://www.krns.jp/

動的解析

 動的解析結果のスキャン以外の通信とFile Hashの関係の可視化追加しました。

注意：点数が多いので表示までに時間がかかります。

https://api.krns.jp/sandbox/c2_malware

API更新

  API更新

マルウエアのスキャン対象PORT取得APIを追加しました。

https://api.krns.jp/doc/schema/swagger-ui/#/api/%2Fapi%2Fintelligence%2Fmalware_scan_2